[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
クライアントサイドで使える可逆暗号化ライブラリ·jCryption MOONGIFT
インターネット上でユーザ認証やセンシティブな情報を集める際にはSSLを使うことが一般的だ。とは言え個人やレンタルサーバレベルでは証明書を取得するのはコスト面や技術面で難しいことがある。だからといって、そのような情報を平文のまま流すのは気になる所だ。 フォームの内容を暗号化して送信 簡単な暗号化だけでも良いから行いたい、そんな時に使えそうなのがjCryptionだ。 今回紹介するオープンソース・ソフトウェアはjCryption、JavaScriptベースの暗号化ライブラリだ。 jCryptionはRSA暗号(公開鍵暗号)に則ったアルゴリズムを使った暗号化ライブラリだ。復号化可能なライブラリであり、jCryptionではPHPのクラスを提供している。実装はjQueryを使って行われているのでjQueryを使った開発では利用がとても簡単に行える。 公開鍵を送信しているスクリプト部分 送信直前にサ
RSAの公開鍵暗号方式でフォームのデータの暗号が行えるjQueryプラグイン「jCryption」:phpspot開発日誌
RSAの公開鍵暗号方式でフォームのデータの暗号が行えるjQueryプラグイン「jCryption」 2009年08月10日- jCryption - JavaScript data encryption RSAの公開鍵暗号方式でフォームのデータの暗号が行えるjQueryプラグイン「jCryption」。 2048bit のRSAで暗号可能。Ajaxでのサブミットもサポート。 暗号化は既にしてあり、SSLも不要。インストール簡単という特徴があります。 ちゃんとしたプロダクトに組み込む際は、きちんとした検証が必要だと思いますが、面白い仕組みですね。 デモページで各種デモが見れます。 データを送信すると、以下のように jCryption をキーとして暗号化が行われていることがわかります。 decrypted POST で元データが取れていますね。 これはすごいです。
いままで iモードID(guid, 個体識別番号)は大文字・小文字の区別ありなことを意識していなかった - IMAKADO::BLOG
いわゆる、かんたんログインと呼ばれる認証方法をドコモ端末で実装するときにつかわれていると思われるiモードIDですが、大文字・小文字の区別あり、だということを今日初めて知りました。 以下、問題になった部分の最小構成。かんたんログインの是非はいったん置いておきます。 CREATE TABLE `user` ( id INTEGER UNSIGNED NOT NULL AUTO_INCREMENT, mobile_id VARCHAR(255) NOT NULL, PRIMARY KEY(id), UNIQUE INDEX user_mobile_id(mobile_id) ); INSERT INTO `user` (mobile_id) VALUES('xx0000x'); -- => Query OK, 1 row affected (0.06 sec) INSERT INTO `user
グリー株式会社に入社しました - Kossy Memo
1か月間の休暇もあっという間に過ぎてしまいましたが、社会人になって以来最長のお休みをいただいて、よい充電期間になりました。 さて、このたびご8月1日付けでグリー株式会社に入社しましたのでご報告させていただきます。 インターネット業界で働き始めてから9年間、たくさんのユーザーに接するサービスづくり、会社づくりに携わってきましたが、これまでの経験を生かしつつ、また違った形でより多くの人々の生活に影響を与え、大きなビジネスを生み出せる環境で新たなチャレンジをしたいな、と考えていたところに、社長の田中さんに声をかけていただいたのがきっかけです。 グリーへの入社を決めた理由 グリーに入社しようと思った理由ですが、 1つめは、環境の変化を素早く捉え、変革を続けている組織力の高さ、成長可能性の高さを感じたことです。 2つめは、開発、企画、マーケティング、管理……と会社の各部署に優秀で、仕事に賭ける熱量の
UTF-8の動的コンテンツをShift_JISと誤認させることで成立するXSS - masa141421356’s blog
文字コード指定の無いUTF-8のコンテンツでは、ブラウザ側の文字コード自動認識でシフトJISと誤認させることで、HTMLの特殊文字を一切使わずにXSSが成立する場合があります。 原理 UTF-8 では1文字が3バイトマッピングされる場合があります。 そこで、これをShift_JISと誤認させると、3バイト目と次の1バイトをセットで1文字と誤認させることができます。これにより、HTMLの区切り文字の効力を失わせてスクリプトを注入することが可能です。 例:"あ" = E3 81 82 なので、シフトJISと誤認すると "縺" (E381) +余分な先行バイトの 0x82 具体例 例えば、動的なコンテンツ(UTF-8で応答を生成) <html> <head> <title>abcde</title> </head> <body> <form> <input type=text value="ユー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう